如果组织当前没有自己的安全运营中心(SOC),那么可能需要考虑如何在不从头开始构建的情况下获得安全运营中心(SOC)。自己构建安全运营中心(SOC)的费用可能会非常昂贵,考虑到工作人员全天候运营的配置成本,就更是如此。在过去几年中,托管安全服务提供商(MSSP)推出了基于云计算的安全运营中心(SOC),用于监控网络和计算基础设施,并提供广泛的服务。以下了解一下安全运营中心即服务(SOCaaS)行业如何成长,它们提供什么,以及如何根据用户的特定需求选择合适的供应商。
什么是安全运营中心即服务(SOCaaS)?
安全运营中心即服务(SOCaaS)的定义是不断变化的,可能是供应商提供的全天候网络监控服务,也可能是全面的威胁检测和缓解服务。这意味着每个供应商都有自己的服务集合,可以将其标记为安全运营中心即服务(SOCaaS)或传统的托管安全服务提供商(MSSP)。但深入研究将会耗费大量时间。其中一些只是每个首字母缩略词的定义不一致,有些是感知问题,有些是产品和服务产品,有些与提供商的来源有关。
一些问题在于,安全运营中心即服务(SOCaaS)供应商由于其专注于不同安全领域而创建的不同业务而有所不同。一些最初是托管安全事件提供商(例如AlertLogic),另一些是托管检测供应商(例如Network Technology Partners)或托管端点安全供应商(例如Symantec和Trustwave)。有些公司开发了自己的安全运营中心(SOC)控制台来管理他们自己的产品,然后使它们成为更通用的工具,可以连接到更广泛的工具。一些来自大型计算机制造商(IBM、戴尔、惠普)的服务部门。
其他公司开始运行他们自己的托管网络运营中心(NOC),然后分支到安全领域(例如AccountabilIT)。托管网络运营中心(NOC)和托管安全运营中心(SOC)之间有什么区别?前者主要关注保持流过管道的流量包。后者主要是关于确保使用正确的数据包和正确的管道。其工具集也完全不同:网络延迟与占用CPU的进程。关键点在于它们提供的实际服务,它们监控的内容以及它们与现有服务器和网络基础设施的交互方式。
这里的目标是配备安全设备,当组织的数据遭受破坏或数据泄露或其他安全事件时,这些安全设备会提醒,这样组织就不必构建自己的安全运营中心(SOC),也不必雇佣经验丰富的员工来运行保护性安全设备。在理想情况下,供应商应能够及时识别事件(根据其服务级别协议),并进行必要的纠正以消除威胁。
调研机构Gartner公司2018年2月发布了关于托管安全服务的调查报告,其中包括安全运营中心即服务(SOCaaS),如安全事件监控、网络层威胁监控和检测、日志分析、漏洞扫描和事件响应等,所有这些都是作为托管服务从中央安全运营中心即服务(SOCaaS)类型实体提供的,它已经是一个需要处理的大量工具。该报告列出了17家全球供应商,其中包括AT&T/Alienvault、BT、Century Link和NTT等。所有这些都是电信厂商,而这些厂商最了解如何保持全球最大的网络基础设施全天候运行。
如果组织在全球各地都有分支机构和服务器开展全球业务,那么可能已经了解了这些厂商。如果是业务并不广泛的小型企业,可能需要考虑与专门从事安全运营中心即服务(SOCaaS)的十几家供应商中的一家开展合作,其中包括ArcticWolf、RadarServices或DigitalHands。
如何评估安全运营中心即服务(SOCaaS)?
向安全运营中心即服务(SOCaaS)服务提供商提出的问题
当组织整理需球建议书(RFP)或问卷时,需要询问一些相关的问题。
1.提供的内容与纯粹监控的服务方法有何不同?其答案应该可以帮助组织了解供应商的细微差别以及它如何与众不同。AlertLogic公司从安全信息和事件管理(SIEM)开始,然后根据自己的全球遥测和威胁监控程序添加了其他保护技术。组织可能希望从纯粹的托管安全服务提供商(MSSP)开始,在决定是否全力投入安全运营中心即服务(SOCaaS)之前,先了解自己的体验。
2.支持多少传统安全信息和事件管理(SIEM)和服务台系统?一些供应商希望用户切换到他们自己的内部解决方案。其他供应商(如DigitalHands.com)为这两种技术的遗留系统提供更广泛的支持,而有些(如Network Technology Partners)拥有自己的API集,用户必须编写程序才能利用。
3.客户需要在其场所安装哪些代理和服务器?大多数供应商都有两个项目来监控组织的基础设施:代理和收集流量,并运行供应商专有应用程序的自定义服务器。有些需要多个代理来完成特定任务,例如一个用于监控,另一个用于修复。
4.供应商多久重新评估/扫描一次基础设施?监控在连续到每季度的扫描中有所不同,而且对于云计算设备和内部部署设备来说,其监控方式也可能有所不同。
5.组织将如何进行合规性审计?一些供应商将审计作为其收费项目的一部分,一些供应商额外收费,一些供应商推荐第三方,以便组织可以完全独立地了解他们正在做什么。像Bolton实验室这样的公司根本不提供任何合规服务。每种方法都有充分的理由,只要确保组织知道要付出什么。
6.供应商是否有经销商或直销模式?有些供应商拥有完善的合作伙伴网络。其他人使用像Ingram Micro这样的大型经销商来销售他们的产品,而有些供应商则想直接与用户打交道。一些安全运营中心即服务(SOCaaS)提供商还将其服务转售给其他托管安全服务提供商(MSSP),这是一种有趣的商业模式。确保组织对使用的任何方法感到满意。
7.客户的目标规模是多少?一些供应商更加关注中小企业。其他人可以在许多市场上成长,并扩展到非常大的网络。其次寻找他们的最佳位置,并知道什么时候可能会扩张。
8.谁在为他们的安全运营中心(SOC)配备人员?组织需要了解网络人员的培训、认证和其他技能水平等情况。员工往往比安全设备更重要。毕竟,这就是为什么组织需要采用安全运营中心即服务(SOCaaS)的原因,而不必自己构建或运营。